公開されたDockerデーモンがDDoSボットネットの燃料に

出典: mr_tigga / Shutterstock

最近発見されたサービス妨害（DDoS）専用のボットネットは、攻撃者がクラウドネイティブ開発ツールを再利用して、正規の企業向けソフトウェアのように見え、振る舞うインフラを構築していることを浮き彫りにしています。これにより、防御側による検知や妨害が大幅に複雑化しています。

Darktraceの研究者は、このボットネットを”ShadowV2“と名付けました。これは、AWS EC2上で稼働する同社のハニーポットが攻撃を受けたことから活動が発覚したものです。

幅広いDDoS機能

同社のその後の分析により、このボットネットが高度な攻撃手法を組み合わせた、完全な機能を備えたDDoSプラットフォームであることが判明しました。これには、HTTP/2ラピッドリセット、大規模なHTTPフラッド、Cloudflareの「Under Attack Mode（UAM）」のバイパスが含まれます。これにより攻撃者はCloudflareのチャレンジページを回避し、保護されたサイトに悪意のあるトラフィックを送り込むことができます。ShadowV2はまた、使いやすいオペレーターインターフェース、OpenAPIベースの制御、動的なコンテナデプロイ機能を備えており、攻撃者はクラウドネイティブアーキテクチャの背後に活動を隠しつつ、高度にカスタマイズ可能な攻撃を実行できます。

「防御側にとって、その影響は重大です」とDarktraceは今週のブログ投稿で述べています。「効果的な防御には、コンテナ化環境への深い可視性、クラウドワークロードの継続的な監視、異常なAPI利用やコンテナオーケストレーションパターンを特定できる行動分析が必要です。」

ShadowV2キャンペーンは、AmazonのAWS EC2クラウドインフラ上でインターネットに公開されたDockerデーモン（サーバー）を標的としています。デフォルトでは、Dockerは重大なセキュリティリスクがあるため、このようなアクセスはできません。しかし、組織によっては、外部ホストのリモート管理やCI/CDパイプライン統合、テストや開発などの目的で、外部アクセスを許可するように設定することがあります。

「Dockerデーモンはポート2375で待ち受けています」とDarktraceの脅威インテリジェンスエンジニア、Nate Bill氏は述べ、Censysのデータを指摘します。それによると、現在このポートが開いているIPアドレスは24,000件に上るとのことです。「ただし、これらすべてが悪用可能というわけではないでしょう」とも述べています。

Darktraceによると、攻撃者は外部アクセス用に設定されたDockerデーモンをスキャンしています。通常の攻撃者が事前に用意したイメージをアップロードしたり、既存のDocker Hubイメージを武器化するのとは異なり、ShadowV2の運用者はDockerサーバー上に汎用的な「セットアップ」コンテナをデプロイします。その後、ツールやマルウェアコンポーネントをその中にインストールし、ライブコンテナとして展開します。Darktraceは、攻撃者がGitHub Codespaces上にホストされたPythonスクリプトを使用して Python Docker SDK経由でDockerとプログラム的にやり取りし、コンテナのデプロイ、設定、起動の全プロセスを処理していることを突き止めました。

多用途なマルウェアツール

このマルウェア自体は、多くの現代的な悪意あるソフトウェアと同様、Go言語で書かれたELFバイナリです。一度インストールされると、固有の識別子とタイムスタンプを使ってコマンド＆コントロール（C2）サーバーと通信します。このマルウェアは 毎秒C2サーバーにハートビート信号を送り、5秒ごとに新たな攻撃コマンドをポーリングします。マルウェアが受け取るコマンドには、攻撃タイプ、ターゲットURLとポート、持続時間、その他DDoS関連情報が指定されます。

「攻撃者はインターネット上で誤設定されたDockerサーバーをスキャンして発見し、そこに悪意あるコンテナをデプロイしてマルウェアツールをインストールします」とBill氏は述べます。「攻撃者が被害者のシステム上で環境を構築するという手法は、完全なイメージをアップロードするのとは異なり、独特です。公開されたDocker環境を利用したDDoSサービスも珍しい」とも述べています。

Bill氏によれば、ShadowV2がDDoSサービスの潜在的な購入者にとって最大の魅力となるのは、HTTP2ラピッドリセット機能とCloudflare UAMバイパス機能であり、どちらも効果的なDDoS攻撃です。「現在何台のサーバーがShadowV2に感染しているかは、ボットネットのコントロールパネルにアクセスしないと追跡できません。しかし、攻撃者が少なくとも1つのウェブサイトに対して攻撃を指示していることを観測しており、実際に稼働中であることが分かります」と述べています。

Black Duckのセキュリティエンジニアリング部門シニアディレクター兼責任者であるKelvin Lim氏は、ShadowV2がAWS上の誤設定されたDockerコンテナを標的にしていることは重要であり、組織がその環境の保護を強化する必要がある理由だと述べています。「コンテナセキュリティの強化は、コンテナを運用するすべての組織にとって不可欠です」とLim氏は言います。「組織は最小権限の原則を徹底し、公開されたDocker APIを無効化し、オーケストレーションツールには強力な認証を導入すべきです。ファイアウォールなど従来の境界防御だけでは不十分です。」

Keeper Securityの最高情報セキュリティ責任者（CISO）であるShane Barney氏は、ShadowV2キャンペーンが、脅威アクターがAPIやダッシュボード、ユーザーインターフェースを備えたビジネスのようにDDoSサービスを展開していることを示していると付け加えます。「このような産業化は、防御側にとって警鐘となるべきです」と彼は述べます。「これらの脅威に対抗するには、組織はゼロトラストの考え方を採用する必要があります。これには、すべてのコンテナ、API、ワークロードにわたる継続的な検証が含まれます。」